j’ai craqué sur le captcha à la fin
6:15, c’est une horreur…!
(et sur smartphone, j’ai abandonné lâchement très vite)
Question rigoulotte :
-mon entreprise change de manière de gérer les fiches de paie. Avant chaque fin mois voyait l’envoi d’un mail contenant en .pdf la fiche qui va bien. Sous peu, les fiches seront chargées sur un coffre numérique dont l’accès nous sera communiqué par mail.
-nous avons tous reçu par mail ce matin un mail contenant tous les codes et matricule de tout le monde. Rétropédalage de la part de la RH comme quoi « c’était un mail test, voyons, ahahah » (spoiler : tous les codes étaient valides)
-très étrangement le mail a disparu des boîtes mail de tout le monde (spoiler : on est sur G Suite, et étant tech, je sais qu’on peut supprimer un mail dont on connait l’ID chez ces administrés & j’ai cet identifiant enregistré ^^)
-étant membre CSE j’ai vraiment envie de leur mettre le nez dans leur merde grâce au tout puissant code pénal : on est bien dans la mauvaise foi, il s’agit d’une suppression, mais le caractère frauduleux est il avéré ? Comme il s’agit d’un mail strictement pro, j’en doute.
(J’ai pas envie de leur foutre une amende ou autre, mais l’utiliser comme levier pour l’adoption du télétravail partiel généralisé à l’ensemble des employés et non pas seulement à ceux qui lêchent le cul de leur N+1)
Pour moi, ils sont dans leur bon droit. Supprimer un mail de l’ensemble des boites mails des collaborateurs si ce dernier peut nuire à la bonne marche de l’entreprise (ce qui est le cas ici), fait parti des cas de figures où c’est autorisé.
Je connais une grosse boite où ils ont cabrement coupé les accès emails à tous le monde pendant 2h, parce que qq un etait en train d’envoyer des mails diffamatoires avec photo sur une personne en particulier. Bien sur, sur le moment, c’etait présenté comme problème technique, mais ce genre d’info fini toujours par circuler 
Bref, pour moi, y’a pas de levier ici, en dehors de leur incompétence. Les boites mails leur apparatiennent et je pense qu’ici ils pourront justifier du caractère urgent.
1 « J'aime »
Entre nous ça ne sert pas à grand chose de partir au clash.
En revanche, vous pouvez (pas individuellement, mais via le CSE) :
- mettre un point à l’ordre du jour de votre prochaine assemblée
- dans ce point, détailler les questions auxquels vous voulez des réponses urgentes (notamment techniques) en étant factuels :
- Peuvent-ils confirmer que les comptes étaient des comptes de test comme indiqué dans le mail du XXX envoyé par XXX ?
- Quels fichiers ont été compromis pendant la période où les accès était communiqués publiquement ?
- Quels moyens de mitigation du risque ont été mis en œuvre ?
- Peuvent-ils confirmer que ce ne sont pas les comptes qui seront utilisés pour l’envoi réel des fiches de paie ?
- dans le CR de la réunion, inscrire leurs réponses (qu’ils auront apporté à la réunion) et vos commentaires (que vous leur ferez pendant la réunion)
- si vraiment (sincèrement) vous n’êtes pas satisfaits des réponses, faire état d’une réclamation du CSE
Et selon qui est l’auteur présumé de la bourde j‘y mettrais de grosses pincettes. Même en étant factuel ça va être pris comme une attaque. Donc stratégie habituelle : cookie lemon cookie… Inscrivez d’autres points anodins (voire gentils) à l’ODJ en même temps, et glissez celui-ci au milieu en mode « oh ça ? non c’est pas méchant ».
2 « J'aime »
Ca a déjà été posté ici y a un peu plus de 6 mois, suite à un tweet de @Faskil il me semble ! Tout score inférieur à 5 min est une belle performance 
oops j’avais pas vu… J’ai fait 8 minutes mais en faisant autre chose…
3:58 
1 « J'aime »
Merci de la réponse.
Le conflit, oui et non. Il nous ont fait un reffus d’information ( je n’ai plus le terme exact en tête) en nous cachant des informations qu’ils étaient obligés de nous fournir et en ayant l’intelligence de mentir publiquement sur un AskMeAnything enregistré (une sombre histoire de déménagement, je vais rester superficiel là dessus). Ca entre autres points beaucoup plus tendancieux qui sont pris beaucoup trop à la légère/rigolade pour être acceptés *.
Le point sera porté à la prochaine réunion. Toutefois :
-Ils nous ont assurés dans un premier mail de la RH que, je cite, « No panique, c’était un test et les codes n’étaient pas actifs »
Faux, des collègues ont pu s’y connecter
-dans un second mail, d’excuses, du DGA que, je résume, « désolé, c’est bon, tout est inactifs, on va vérifier que personne n’a accéder aux comptes des autres ».
/Meh, je ne vois pas comment ils vont traiter ça, les IP publiques d’accessibilité ? Pas assez fin pour peu qu’on soit plusieurs sur un même site. Adresse MAC ? j’y crois moyen. Token avec nom de machine ?
-Les fichiers accessibles étaient les fiches de salaires du mois de janvier avec tout ce que ça peu impliqué d’information sensibles.
L’erreur vient du responsable du projet de modernisation/sécurité des fiches de paie. Un interne bien placé du groupe qui nous a récemment absorbé.
Je comprends l’erreur, tout le monde en fait, moi le premier.
Bref un bon gros paquet de merde.
µ et vas y que ça flirte avec la législation sur plein de point, genre la loi Toubon : on est une société franco française dont tous les employés et 99%+ des clients sont francophones natifs, et le groupe nous pond un intranet full english pointant vers de la doc heureusement en français (mais faut les chercher…)
Je ne comprends pas trop le souci. Ce que tu appelle « code et matricule » ça veut dire « password et login » non ? Si c’est bien cela je comprends qu’ils soient debout sur le frein à main et qu’ils nettoient en urgence les boîtes aux lettres qui leur appartiennent.
Après que tu veuilles les titiller sur leur rétention d’information, sur le nom respect des obligations réglementaires française, etc… et qu’ils cachent cette bavure, c’est une autre histoire, là je comprends.
La question qui taraude bien sûr c’est : est-ce que toute la boîte est allée voir les salaires des autres… Et est-ce que quelqu’un a eu le culot de tout télécharger. Parce que le courrier anonyme dans 1 mois pour publier des différences de salaires H/F à poste égal, ou des notes de frais que d’autres n’ont pas, ça peut faire très mal à l’ambiance de la boîte (jusqu’à faire partir en masse des gens).
Ça serait trop bien… mais je doute que qqun est l’idée de faire ça.
Heu pour le coup, connaitre le salaire des autres c’est pas illégale. J’ai un client qui une fois par an fait un tableau récapitulatif des salaires de tout le monde, cadre dirigeants et patron compris.
1 « J'aime »
Pas sur que connaitre le taux de prélèvement à la source le soit par contre.
Humph…Ton client file les salaire des gens nominativement ?
Je suis à peu près sûr que ce genre de détail est confidentiel (au même titre que toute information personnelle que tu confies à ton employeur) et pourrait être attaqué si les données ne sont pas anonymisées.
Après, oui, si c’est juste des stats pour avoir une idée de la rémunération de chacun sans pouvoir identifier qui que ce soit, je vois pas le soucis, ça joue la transparence est c’est plutot en faveur de chacun…
L’autre élément c’est la taille de la boite et si elle est cotée puisque dans certains cas, cette transparence devient une obligation légale. (au moins en ce qui concerne les dirigeants)
Ca depend des pays, des conventions, des statuts de la boite, des contrats signés, bref, je suis a peu pret sur que non.
1 « J'aime »
Dans ma « boîte » c’est même sur internet 
(Bon ok, c’est aussi compréhensible que l’économie d’un mmo coréen mais bon).
Pareil dans les SCOOP ou tout le monde est au meme salaire =)
Tu ne connais pas le salaire de ton voisin de bureau, mais tu sais que c’est le meme que le tien.
La scop c’est le genre d’exceptions dont je parle à la fin de mon message. C’est le statut de la société qui fait que tu peux estimer le salaire de ton collègue. Et techniquement tu connais surtout son salaire parce que tu es associé, plus que parce que tu es salarié.
Pour l’exemple d’ @Ewi, oui les grilles sont officielles dans la fonction publique et en connaissant certains détails, tu peux théoriquement estimer le salaire d’une personne. Mais à aucun moment il est écrit « M. Machin est rémunéré xxxx€ brut auquel s’ajoute une prime pour ceci, une indemnité pour cela et donc au final l’entreprise lui verser chaque mois un montant de yyyy€ ».
Pour prendre un exemple que je connais très bien : en connaissant quelques details de sa carrière et en se basant sur ces grilles on trouve que cette personne gagne 1900€…sauf qu’en réalité elle perçois chaque mois 2900€. Et ça, c’est impossible de le savoir sans connaître de nombreux détails de sa vie (nb et age des enfant, lieu de résidence, montant du loyer).